Una infección de malware puede presentar una serie de síntomas, o ninguno en absoluto. De hecho, las amenazas más insidiosas (ladrones de contraseñas y troyanos de robo de datos) rara vez muestran signos reveladores de infección. En otros casos, como el scareware, es posible que experimente una ralentización del sistema o la imposibilidad de acceder a determinadas utilidades, como el Administrador de tareas.
Dependiendo de su nivel de experiencia, hay varias opciones que puede probar. A continuación se presenta una lista de las opciones que comienzan con las más fáciles y terminan con las más avanzadas.
Índice de contenidos
Pruebe primero su software antivirus
Si el equipo con Windows está infectado con un virus, el primer paso debe ser actualizar el software antivirus y realizar un análisis completo del sistema. Asegúrese de cerrar todos los programas antes de ejecutar el análisis. Este análisis puede tardar varias horas, así que realice esta tarea cuando no necesite utilizar el ordenador durante un tiempo. (Si su equipo ya está infectado, no debería usarlo de todos modos).
Si se encuentra malware, el analizador antivirus suele realizar una de las tres acciones siguientes: limpiar, poner en cuarentena o eliminar. Si después de ejecutar el análisis, se elimina el malware pero recibe errores del sistema o una pantalla azul de muerte, es posible que necesite restaurar los archivos del sistema que faltan.
Arranque en Modo a prueba de fallos
El modo seguro evita que las aplicaciones se carguen y le permite interactuar con el sistema operativo en un entorno más controlado. Aunque no todo el software antivirus lo soporta, intente arrancar en Modo Seguro y ejecutar un análisis antivirus desde allí. Si el Modo a prueba de fallos no arranca o su antivirus no se ejecuta en Modo a prueba de fallos, intente arrancar normalmente, pero mantenga pulsada la tecla Mayúsculas cuando Windows comience a cargarse. Si lo hace, evitará que se carguen aplicaciones (incluido malware) cuando se inicie Windows.
Si las aplicaciones (o el malware) siguen cargándose, es posible que el malware haya cambiado la configuración de ShiftOveride. Para evitarlo, consulte Cómo desactivar ShiftOveride.
Intentar localizar y eliminar manualmente el malware
Gran parte del malware actual puede desactivar el software antivirus y, por lo tanto, evitar que elimine la infección. En ese caso, puede intentar eliminar manualmente el virus de su sistema. Sin embargo, intentar eliminar manualmente un virus requiere un cierto nivel de habilidad y conocimiento de Windows. Como mínimo, necesitarás saber cómo hacerlo:
- Usar el registro del sistema
- Navegar utilizando variables de entorno
- Examinar carpetas y localizar archivos
- Localizar puntos de entrada de AutoStart
- Obtener un hash (MD5/SHA1/CRC) de un archivo
- Acceder al Administrador de tareas de Windows
- Arranque en Modo a prueba de fallos
También deberá asegurarse de que la visualización de la extensión de archivo esté habilitada (de forma predeterminada no lo está, por lo que este es un paso extremadamente importante). También deberá asegurarse de que la ejecución automática esté desactivada.
También puede intentar cerrar los procesos de malware utilizando el Administrador de tareas. Simplemente haga clic con el botón derecho del ratón en el proceso que desea detener y elija «finalizar proceso». Si no puede localizar los procesos en ejecución a través del Administrador de tareas, puede inspeccionar los puntos de entrada de AutoStart comunes para encontrar la ubicación desde la que se está cargando el malware. Sin embargo, tenga en cuenta que gran parte del malware actual puede estar habilitado para rootkits y, por lo tanto, quedará oculto a la vista.
Si no puede localizar los procesos en ejecución utilizando el Administrador de tareas o inspeccionando los puntos de entrada de AutoStart, ejecute un análisis de rootkit para intentar identificar los archivos/procesos implicados. El malware también puede impedir el acceso a las opciones de las carpetas, de modo que no pueda cambiar esas opciones para ver archivos ocultos o extensiones de archivos. En ese caso, también deberá volver a activar la opción de visualización de carpetas.
Si puede localizar correctamente los archivos sospechosos, obtenga el hash MD5 o SHA1 para los archivos y utilice un motor de búsqueda para buscar detalles sobre ellos utilizando el hash. Esto es particularmente útil para determinar si un archivo sospechoso es realmente malicioso o legítimo. También puede enviar el archivo a un escáner en línea para su diagnóstico.
Una vez que haya identificado los archivos maliciosos, el siguiente paso será eliminarlos. Esto puede ser complicado, ya que el malware suele emplear varios archivos que supervisan y evitan que se eliminen los archivos maliciosos. Si no puede eliminar un archivo malicioso, intente desregistrar el dll asociado con el archivo o detenga el proceso winlogon e intente eliminar los archivos de nuevo.
Crear un CD de rescate de inicio
Si ninguno de los pasos anteriores funciona, es posible que deba crear un CD de rescate que proporcione acceso latente a la unidad infectada. Las opciones incluyen BartPE (Windows XP), VistaPE (Windows Vista) y WindowsPE (Windows 7).
Después de arrancar el CD de rescate, vuelva a inspeccionar los puntos de entrada comunes de AutoStart para encontrar la ubicación desde la que se está cargando el malware. Busque las ubicaciones proporcionadas en estos puntos de entrada de AutoStart y elimine los archivos maliciosos. (Si no está seguro, obtenga el hash MD5 o SHA1 y utilice su motor de búsqueda favorito para investigar los archivos usando ese hash.
Último recurso: Reformatear y reinstalar
El último, pero a menudo el otorgamiento es reformatear el disco duro del ordenador infectado y reinstalar el sistema operativo y todos los programas. Aunque es tedioso, este método asegura la recuperación más segura posible de la infección. Asegúrese de cambiar las contraseñas de inicio de sesión del equipo y de los sitios en línea confidenciales (incluidos los servicios bancarios, las redes sociales, el correo electrónico, etc.), una vez que haya completado la restauración del sistema.
Tenga en cuenta que, aunque por lo general es seguro restaurar los archivos de datos (es decir, los que ha creado usted mismo), primero debe asegurarse de que no estén albergando una infección. Si los archivos de copia de seguridad se almacenan en una unidad USB, no los vuelva a conectar al equipo recién restaurado hasta que haya desactivado la ejecución automática. De lo contrario, la posibilidad de reinfección a través de un gusano de ejecución automática es extremadamente alta.
Después de deshabilitar la ejecución automática, conecte su unidad de copia de seguridad y analícela utilizando un par de escáneres en línea diferentes. Si recibe un certificado de buena salud de dos o más escáneres en línea, puede sentirse seguro al restaurar esos archivos en su equipo restaurado.